L'Agenzia per la Sicurezza delle Infrastrutture e la Cybersecurity degli Stati Uniti (CISA) ha dichiarato che non ci sono indicazioni che l'attacco informatico al Dipartimento del Tesoro abbia avuto un impatto su altre agenzie federali. L'agenzia sta collaborando strettamente con il Dipartimento del Tesoro e BeyondTrust per comprendere meglio la violazione e mitigare i suoi effetti. La sicurezza dei sistemi federali è essenziale per la nostra sicurezza nazionale, ha affermato CISA, e stiamo lavorando per proteggere contro ulteriori impatti e fornire aggiornamenti, se necessario.

Questa dichiarazione segue di una settimana l'annuncio del Dipartimento del Tesoro di essere stato vittima di un "grave incidente di cybersecurity" che ha permesso a hacker sponsorizzati dallo stato cinese di accedere da remoto a alcuni computer e documenti non classificati. L'attacco, emerso all'inizio di dicembre 2024, ha coinvolto una violazione dei sistemi di BeyondTrust, permettendo agli avversari di infiltrarsi in alcune istanze SaaS di Supporto Remoto dell'azienda utilizzando una chiave API compromessa.

In un aggiornamento del 6 gennaio 2025, BeyondTrust ha dichiarato che non sono stati identificati nuovi clienti oltre a quelli già comunicati. La Cina ha negato le accuse di aver violato il Dipartimento del Tesoro degli Stati Uniti.

I dati condivisi dall'azienda di gestione della superficie di attacco Censys mostrano che al 6 gennaio sono state osservate online fino a 13.548 istanze di BeyondTrust Remote Support e Privileged Remote Access esposte. La settimana scorsa, l'Ufficio di Controllo degli Asset Stranieri (OFAC) del Dipartimento del Tesoro ha annunciato sanzioni contro una società di cybersecurity cinese, accusandola di fornire supporto infrastrutturale a un altro gruppo di hacker chiamato Flax Typhoon come parte di una campagna di lunga durata contro infrastrutture critiche statunitensi.

Alla domanda sulle sanzioni, il portavoce del Ministero degli Esteri cinese Guo Jiakun ha affermato che la Cina si oppone fermamente al hacking e lo combatte secondo la legge. Ha inoltre sollecitato gli Stati Uniti a smettere di usare la questione della cybersecurity per denigrare e screditare la Cina.

L'attacco al Tesoro è l'ultimo di una serie di intrusioni perpetrate da attori di minaccia cinesi come Volt Typhoon e Salt Typhoon, che mirano, rispettivamente, alle infrastrutture critiche degli Stati Uniti e alle reti di telecomunicazioni. Inoltre, un nuovo rapporto ha rivelato che il gruppo di minaccia cinese APT41 ha penetrato il ramo esecutivo del governo delle Filippine e sottratto dati sensibili relativi a dispute sul Mar Cinese Meridionale.

Questi sviluppi seguono un avvertimento del Bureau di Sicurezza Nazionale di Taiwan riguardo alla crescente sofisticazione degli attacchi informatici orchestrati dalla Cina, con un aumento significativo degli incidenti registrati contro enti governativi e privati nel 2024.